車聯(lián)網(wǎng)安全技術與標準發(fā)展態(tài)勢前沿報告

1、前言車聯(lián)網(wǎng)產(chǎn)業(yè)是汽車、電子、信息通信、道路交通運輸?shù)刃袠I(yè)深度融合的新型產(chǎn)業(yè)形態(tài)，已成為我國戰(zhàn)略性新興產(chǎn)業(yè)的重要發(fā)展方向，是目前跨領域、綜合性的研究熱點。目前我國已將車聯(lián)網(wǎng)產(chǎn)業(yè)上升到國家戰(zhàn)略高度，產(chǎn)業(yè)政策持續(xù)利好。我國車聯(lián)網(wǎng)產(chǎn)業(yè)化進程逐步加快，形成了包括通信芯片、通信模組、終端設備、整車制造、運營服務、測試認證、高精度定位及地圖服務等較為完整的產(chǎn)業(yè)鏈生態(tài)。車聯(lián)網(wǎng)的功能安全、網(wǎng)絡安全、隱私和數(shù)據(jù)安全是構建車聯(lián)網(wǎng)應用的關鍵環(huán)節(jié)。根據(jù)中國通信學會組織各專業(yè)委員會開展前沿報告的工作安排，通信設備制造技術委員會在 2018 年組織我國車聯(lián)網(wǎng)產(chǎn)學研用各領域?qū)＜易珜懥塑嚶?lián)網(wǎng)技術、標準與產(chǎn)業(yè)發(fā)展態(tài)勢前沿報告1，

2、在業(yè)界反響熱烈。2019 年在此基礎上根據(jù)車聯(lián)網(wǎng)技術和產(chǎn)業(yè)的發(fā)展情況，通信設備制造技術委員會繼續(xù)組織專家撰寫了車聯(lián)網(wǎng)安全技術與標準發(fā)展態(tài)勢前沿報告。本報告分析了車聯(lián)網(wǎng)安全的全球發(fā)展態(tài)勢和我國發(fā)展現(xiàn)狀，對車聯(lián)網(wǎng)安全技術與產(chǎn)業(yè)發(fā)展態(tài)勢和技術預見進行了預測，探討了車聯(lián)網(wǎng)安全面臨的重大難題，提出了技術和產(chǎn)業(yè)政策建議。報告內(nèi)容涉及面廣，可作為高校、研究機構以及汽車、交通、通信、互聯(lián)網(wǎng)、集成電路等行業(yè)的技術產(chǎn)業(yè)發(fā)展參考，也可作為政府部門制定政策的參考。中國通信學會通信設備制造技術委員會主任委員： 2019 年 12 月目錄TOC o 1-1 h z u HYPERLINK l _TOC_250030 縮略

3、語1 HYPERLINK l _TOC_250029 一、車聯(lián)網(wǎng)安全研究概述3 HYPERLINK l _TOC_250028 二、全球發(fā)展態(tài)勢5 HYPERLINK l _TOC_250027 （一）綜述5 HYPERLINK l _TOC_250026 （二）車聯(lián)網(wǎng)安全管理系統(tǒng)發(fā)展態(tài)勢8 HYPERLINK l _TOC_250025 （三）車聯(lián)網(wǎng)安全信任錨點模型發(fā)展態(tài)勢10 HYPERLINK l _TOC_250024 （四）車聯(lián)網(wǎng)隱私保護技術發(fā)展態(tài)勢12 HYPERLINK l _TOC_250023 （五）車聯(lián)網(wǎng)安全監(jiān)管發(fā)展態(tài)勢14 HYPERLINK l _TOC_250022

4、（六）車聯(lián)網(wǎng)安全標準15 HYPERLINK l _TOC_250021 三、我國發(fā)展態(tài)勢17 HYPERLINK l _TOC_250020 （一）車聯(lián)網(wǎng)安全管理系統(tǒng)發(fā)展態(tài)勢17 HYPERLINK l _TOC_250019 （二）車聯(lián)網(wǎng)安全管理系統(tǒng)產(chǎn)業(yè)實踐19 HYPERLINK l _TOC_250018 （三）車聯(lián)網(wǎng)安全監(jiān)管21 HYPERLINK l _TOC_250017 （四）車聯(lián)網(wǎng)安全標準22 HYPERLINK l _TOC_250016 四、技術預見23 HYPERLINK l _TOC_250015 （一）5G 車聯(lián)網(wǎng)安全技術23 HYPERLINK l _TOC_25

5、0014 （二）車聯(lián)網(wǎng)與邊緣計算融合的安全24 HYPERLINK l _TOC_250013 （三）車聯(lián)網(wǎng)通信設備認證及安全交互技術25 HYPERLINK l _TOC_250012 （四）車聯(lián)網(wǎng)安全管理系統(tǒng)增強技術26 HYPERLINK l _TOC_250011 （五）可信計算在車聯(lián)網(wǎng)中的應用27 HYPERLINK l _TOC_250010 （六）基于區(qū)塊鏈理念的車聯(lián)網(wǎng)及安全技術27 HYPERLINK l _TOC_250009 五、工程難題28 HYPERLINK l _TOC_250008 （一）滿足車聯(lián)網(wǎng)安全需求的安全芯片28 HYPERLINK l _TOC_25000

6、7 （二）車聯(lián)網(wǎng)相關的安全算法29 HYPERLINK l _TOC_250006 （三）車聯(lián)網(wǎng)業(yè)務管理模式30 HYPERLINK l _TOC_250005 六、政策建議30 HYPERLINK l _TOC_250004 （一）加強車聯(lián)網(wǎng)安全總體規(guī)劃部署和頂層設計30 HYPERLINK l _TOC_250003 （二）加快頒布國家車聯(lián)網(wǎng)安全相關的法律法規(guī)和有關政策31 HYPERLINK l _TOC_250002 （三）落實責任，加強協(xié)作31 HYPERLINK l _TOC_250001 （四）推進自主關鍵技術研發(fā)31 HYPERLINK l _TOC_250000 參考文獻31

7、縮略語3GPPThe 3rd Generation Partnership Project第三代合作伙伴項目5GAA5G Automotive Association5G 汽車協(xié)會ADASAdvanced Driver Assistant System先進駕駛輔助系統(tǒng)C-ITSChina ITS industry Alliance中國智能交通產(chǎn)業(yè)聯(lián)盟C-V2XCellular V2X基于蜂窩的車聯(lián)網(wǎng)CACertificate Authority認證中心CCMSC-ITS Security Credential Management SystemCCSAChina Communications

8、Standards AssociationC-ITS 安全證書管理系統(tǒng)中國通信標準化協(xié)會CPACertificate Policy Authority證書策略管理機構CPOCCentral Point of Contact聯(lián)絡中心點DSRCDirect Short-Range Communication直接短距離通信ECAEnrolment Certificate Authority注冊證書認證機構ECCElliptic Curve Cryptography橢圓曲線密碼算法ECTLEuropean Certificate Trust List歐洲證書信任列表ETSIEuropean Telec

9、ommunications Standards Institute歐洲電信標準化協(xié)會GBAGeneric Bootstrapping Architecture通用引導架構GCCFGlobal Certificate Chain File全球證書鏈文件IEEEInstitute of Electrical and Electronics Engineers電氣和電子工程師協(xié)會IPInternet Protocol互聯(lián)網(wǎng)協(xié)議IPSecInternet Protocol Security互聯(lián)網(wǎng)協(xié)議安全ISOInternational Standards Organization國際標準化組織ITSI

10、ntelligent Transportation System智能交通系統(tǒng)ITU-TInternational Telecommunication Union-Telecommunication國際電信聯(lián)盟-電信標準化局LALinkage Authority鏈接認證機構LOPLocation Obscurer Proxy位置模糊處理代理LTELong Term Evolution長期演進LTE-V2XLong Term Evolution V2X基于LTE 的車聯(lián)網(wǎng)NHTSANational Highway Traffic Safety Administration美國高速交通安全管理局OB

11、UOn Board Unit車載單元PCAPseudonym Certificate Authority假名證書認證機構PKIPublic Key Infrastructure公鑰基礎設施RCARoot Certificate Authority根證書認證機構RSURoadside Unit路側單元SAESociety of Automotive Engineers汽車工程學會SCMSSubscriber Credential Management System簽約用戶信用狀管理系統(tǒng)TLMTrust List Manager信任列表管理者TLSTransport Layer Security傳

12、輸層安全V2XVehicle to Everything車聯(lián)網(wǎng)V2IVehicle to Infrastructure車到基礎設施V2NVehicle to Network車到網(wǎng)絡V2PVehicle to Pedestrian車到人V2VVehicle to Vehicle車到車WAVEWireless Access Vehicular Environment無線接入車載環(huán)境一、 車聯(lián)網(wǎng)安全研究概述車聯(lián)網(wǎng)是以車內(nèi)網(wǎng)、車際網(wǎng)和車載移動互聯(lián)網(wǎng)為基礎，按照約定的通信協(xié)議和數(shù)據(jù)交互標準，在車與車（V2V）、車與路邊設施（V2I）、 車與行人（V2P）以及車與網(wǎng)絡（V2N）之間進行無線通信和數(shù)據(jù)交換與

13、共享的網(wǎng)絡系統(tǒng)。它通過人車路網(wǎng)之間的實時感知與協(xié)同來實現(xiàn)智能交通管理、智能動態(tài)信息服務和智能車輛控制的一體化， 向用戶提供道路安全、交通效率提升和信息娛樂等各類服務，滿足人們交通信息消費的需要。目前，全球范圍內(nèi)普遍接受的 V2X（X：車、路、行人以及網(wǎng)絡） 車聯(lián)網(wǎng)通信技術主要包括專用短程通信 IEEE 802.11p/DSRC（Dedicated Short Range Communication）技術和基于移動蜂窩通信系統(tǒng)的 C-V2X（Cellular-V2X）技術。其中 C-V2X2包括 LTE-V2X 和NR-V2X，LTE-V2X3是大唐最早在 2013 年提出的概念，并于 2017

14、 年在 3GPP 形成國際標準。由于通信標準的持續(xù)演進，在產(chǎn)業(yè)發(fā)展過程中，將基于蜂窩通信的車聯(lián)網(wǎng)技術統(tǒng)稱為 C-V2X，涵蓋了當前正在研究的新空增強車聯(lián)網(wǎng)技術，即 NR-V2X。與傳統(tǒng)網(wǎng)絡系統(tǒng)相比， 車聯(lián)網(wǎng)系統(tǒng)有著新的系統(tǒng)組成、新的通信場景，這些在系統(tǒng)安全性及用戶隱私保護方面帶來了新的需求與挑戰(zhàn)。車聯(lián)網(wǎng)設備主要包括車聯(lián)網(wǎng)終端和路側設備。從車聯(lián)網(wǎng)終端角度， 由于車聯(lián)網(wǎng)終端集成了導航、移動辦公、車輛控制、輔助駕駛等功能， 導致車載終端更容易成為黑客攻擊的目標，造成信息泄露，車輛失控 等重大安全問題。因此車載終端面臨著比傳統(tǒng)終端更大的安全風險。車載終端存在的多個物理訪問接口和無線連接訪問接口使車載終

15、端容易受到欺騙、入侵和控制的安全威脅，同時車載終端本身還存在訪問控制風險、固件逆向風險、不安全升級風險、權限濫用風險、系統(tǒng)漏洞暴露風險、應用軟件風險和數(shù)據(jù)篡改和泄露風險。從路側設備的角度，由于路側設備是車聯(lián)網(wǎng)系統(tǒng)的核心單元，它的安全關系到車輛、行人和道路交通的整體安全，主要面臨非法接入、運行環(huán)境風險、設備漏洞、遠程升級風險和部署維護風險。車聯(lián)網(wǎng)的通信包括車內(nèi)系統(tǒng)的通信和車與車、車與路、車與網(wǎng)絡等的車聯(lián)網(wǎng)通信，對于車內(nèi)系統(tǒng)而言，LTE V2X 車載終端是車輛系統(tǒng)中的一個功能節(jié)點。而對于 LTE V2X 車載終端而言，車內(nèi)系統(tǒng)是LTE V2X 車載終端的執(zhí)行器，包含了車內(nèi)所有與其交互的電子電氣系統(tǒng)

16、。從車聯(lián)網(wǎng)通信角度，LTE-V2X 技術包括蜂窩網(wǎng)通信場景和短距離直連通信場景的通信技術。在蜂窩網(wǎng)通信場景下，LTE V2X 車聯(lián)網(wǎng)繼承了傳統(tǒng) LTE 網(wǎng)絡系統(tǒng)面臨的安全風險，存在假冒終端、假冒網(wǎng)絡、信令/數(shù)據(jù)竊聽和信令/數(shù)據(jù)篡改/重放等安全風險。在短距離直連通信場景下，LTE V2X 系統(tǒng)除了面臨假冒網(wǎng)絡、信令竊聽、信令篡改/重放等安全信令面安全風險外，還面臨著虛假信息、假冒終端、信息篡改/重放和隱私泄露等用戶面安全風險。從車內(nèi)通信角度， 由于車內(nèi)系統(tǒng)通過車內(nèi)網(wǎng)絡（如 CAN 總線網(wǎng)絡、車載以太網(wǎng)等）與車載終端相聯(lián)，使整個車內(nèi)系統(tǒng)暴露在外部不安全的環(huán)境中，車內(nèi)系統(tǒng)面臨假冒節(jié)點、接口惡意調(diào)用和

17、指令竊聽/篡改/重放等風險。車聯(lián)網(wǎng)應用主要包括基于云平臺的業(yè)務應用以及基于PC5/V5 接口的直連通信業(yè)務應用?；谠破脚_的應用以蜂窩網(wǎng)通信為基礎，繼承了“云、管、端”模式現(xiàn)有的安全風險，包括假冒用戶、假冒業(yè)務服務器、非授權訪問、數(shù)據(jù)安全等。直連通信應用以網(wǎng)絡層 PC5 廣播通道為基礎，主要面臨偽造/篡改/竊聽信息和用戶隱私泄露等安全風險。車聯(lián)網(wǎng)數(shù)據(jù)來源廣泛、種類眾多，各種類型的數(shù)據(jù)在生成、傳輸、存儲、使用、丟棄或銷毀等各個階段，在終端、網(wǎng)絡、業(yè)務平臺等各個層面均面臨非法訪問、非法篡改、用戶隱私泄露等安全風險。為了應對上述的安全風險和挑戰(zhàn)，車聯(lián)網(wǎng)系統(tǒng)需要對消息來源進行認證，保證消息的合法性；支

18、持對消息的完整性及抗重放保護，確保消息在傳輸時不被偽造、篡改、重放；根據(jù)業(yè)務需求支持對消息的機密性保護，確保消息在傳輸時不被竊聽，防止用戶敏感信息泄露； 支持對終端真實身份標識及位置信息的隱藏，防止用戶隱私泄露。本報告分析了車聯(lián)網(wǎng)安全技術和標準在全球的發(fā)展態(tài)勢和我國 發(fā)展現(xiàn)狀，對車聯(lián)網(wǎng)安全技術與標準發(fā)展態(tài)勢和技術預見進行了預測， 探討了車聯(lián)網(wǎng)安全在工程建設中的重大難題，提出了技術和產(chǎn)業(yè)政策 建議。報告內(nèi)容涉及面廣，可作為高校、研究機構以及汽車、交通、通信、互聯(lián)網(wǎng)、集成電路等行業(yè)的技術產(chǎn)業(yè)發(fā)展參考，也可作為政府 部門制定政策的參考。二、 全球發(fā)展態(tài)勢（一）綜述LTE-V2X 是為了支持基本道路安

19、全等車聯(lián)網(wǎng)業(yè)務需求,在蜂窩架構基礎上，擴展了終端直連通信特性。3GPP 標準組織在現(xiàn)有 LTE 網(wǎng)絡的基礎之上引入了 V2X 控制功能網(wǎng)元，對車聯(lián)網(wǎng)終端及業(yè)務進行管控，并對上層業(yè)務提供方提供服務支撐，滿足業(yè)務需要。在此網(wǎng)絡架構下，LTE V2X 系統(tǒng)安全分為蜂窩通信場景和直連通信場景的安全。(7)(5)(2)(4)(2)歸屬網(wǎng)絡車載終端(8)(3)LTE-UuLTE V2X網(wǎng)聯(lián)汽車USIM卡1)(4)(6)(3)(1)服務網(wǎng)絡LTE接入網(wǎng)(1)V2X控制功能(6)(6)LTE V2X業(yè)務提供方應用車內(nèi)系統(tǒng)歸屬環(huán)境蜂窩網(wǎng)應用層蜂窩通信場景下的安全架構（如圖 1 所示）與 LTE 的安全架構類似，

20、包括網(wǎng)絡接入安全、網(wǎng)絡域安全、認證與密鑰管理、車聯(lián)網(wǎng)接入安全、車聯(lián)網(wǎng)業(yè)務能力開放安全、網(wǎng)絡安全能力開放、應用層安全和車內(nèi)系統(tǒng)及接口安全。其中網(wǎng)絡接入安全、網(wǎng)絡域安全、認證與密鑰管理和網(wǎng)絡安全能力開放繼承了 LTE 網(wǎng)絡現(xiàn)有安全機制。車聯(lián)業(yè)務接入安全是車聯(lián)網(wǎng)系統(tǒng)新增的安全域，對于 LTE 網(wǎng)絡而言屬于應用層安全。它在終端與其歸屬網(wǎng)絡的 V2X 控制功能之間提供雙向認證，對終端身份提供機密性保護；在終端與 V2X 控制功能之間對配置數(shù)據(jù)提供傳輸時的完整性保護、機密性保護和抗重放保護。車聯(lián)業(yè)務能力開放安全也是車聯(lián)網(wǎng)系統(tǒng)新增的安全域，保證對上層應用提供LTE V2X 業(yè)務能力開放過程中的接入及數(shù)據(jù)傳輸

21、安全。它可采取類似于網(wǎng)絡域安全的方法來保護，在不同安全域之間采用 IPSec、TLS 等安全機制為業(yè)務提供雙向認證、加密、完整性保護和抗重放的安全保障。圖 1 蜂窩移動通信場景下 LTE-V2X 安全架構5應用(3)交通專網(wǎng)應用(2)(2)(5)車內(nèi)系統(tǒng)車載終端(1)LTE V2X終端僅對于RSU(4)公共網(wǎng)絡PC5/V5(5)LTE V2X網(wǎng)聯(lián)汽車USIM卡USIM卡僅對于UE型RSU業(yè)務云平臺交通信號控制系統(tǒng)LTE V2X網(wǎng)聯(lián)汽車/RSU/行人直連通信場景下的 LTE-V2X 系統(tǒng)安全架構（如圖 2 所示）包括網(wǎng)絡層安全、安全能力支撐、應用層安全、車內(nèi)系統(tǒng)及接口安全和外部網(wǎng)絡域安全。根據(jù)

22、3GPP 組織的 REL14 的規(guī)范，終端在網(wǎng)絡層不采取任何機制對 PC5 接口上廣播發(fā)送的直連通信數(shù)據(jù)進行安全保護， 數(shù)據(jù)的傳輸安全完全在應用層 V5 接口保障。網(wǎng)絡層僅提供標識更新機制對用戶隱私進行保護。終端通過隨機動態(tài)改變源端用戶層二標識和源 IP 地址，防止用戶身份標識信息在 PC5 廣播通信的過程中遭到泄露、被攻擊者跟蹤。網(wǎng)絡層向應用層提供安全能力支撐，采取用戶標識跨層同步機制確保源端用戶層二標識、源 IP 地址與應用層標識同步更新，防止由于網(wǎng)絡層與應用層用戶身份標識更新的不同步，導致用戶標識關聯(lián)信息被攻擊者獲取，用戶隱私信息遭到泄露。圖 2 直連通信場景下的 LTE-V2X 安全架

23、構5因此對于 PC5/V5 直連通信接口，LTE V2X 系統(tǒng)主要依靠應用層安全來解決安全風險。目前，車聯(lián)網(wǎng)系統(tǒng)在應用層主要考慮采用數(shù)字證書的方法實現(xiàn)業(yè)務消息的安全保護，相應地系統(tǒng)需要部署 CA 基礎設施實現(xiàn)數(shù)字證書全生命周期的管理。通信交互時，車聯(lián)網(wǎng)終端使用數(shù)字證書對將要發(fā)送的業(yè)務消息進行簽名，對所接收到的業(yè)務消息進行驗簽，從而保證消息的完整性以及業(yè)務消息來源的合法性。（二）車聯(lián)網(wǎng)安全管理系統(tǒng)發(fā)展態(tài)勢IEEE 1609 系列協(xié)議是 WAVE 的高層協(xié)議，其中 IEEE1609.2 定義了 WAVE 的安全消息格式及處理過程，是一種較為成熟的車聯(lián)網(wǎng)安全標準，它借鑒了傳統(tǒng) PKI 系統(tǒng)的體系結構

24、，通過證書鏈實現(xiàn)終端互信。車聯(lián)網(wǎng)證書管理系統(tǒng)中每個模塊通過網(wǎng)絡交換有效信息，協(xié)同工作，共同對外提供安全服務，主要模塊有：Root CA（根 CA，RCA）RCA 是所有 CA 的管理者，也是可信系統(tǒng)的中心，以分層的方式為下級 CA 頒發(fā)證書。根 CA 的操作與運行需要在隔離的安全環(huán)境中，并且需要確保根 CA 服務器為離線狀態(tài)，以防遭遇來自互聯(lián)網(wǎng)的攻擊。Enrollment CA（注冊 CA，ECA）ECA 為終端頒發(fā)準入證書，只有獲得準入證書的終端設備才可接入系統(tǒng)，并且通過網(wǎng)絡申請車聯(lián)網(wǎng)證書管理系統(tǒng)的其他服務。Pseudonym CA（假名 CA，PCA）PCA 負責頒發(fā)設備的短時匿名證書。設

25、備之間通過匿名證書實現(xiàn)可信的信息交互。目前美國和歐洲均在 IEEE1609.2 的基礎上根據(jù)各自的實際情況和管理需求設計了相應的車聯(lián)網(wǎng)安全管理系統(tǒng)。SCMS 系統(tǒng)是美國針對 V2X 應用層安全設計的一套證書管理系統(tǒng)，包含了證書頒發(fā)、證書撤銷、終端安全信息收集、數(shù)據(jù)管理、異常分析等一系列與安全相關的功能，以此確保 V2X 的安全通訊，其主要結構如圖 3 所示。圖 3SCMS 系統(tǒng)架構20CCMS 是歐洲針對合作式智能交通設計的一套證書管理系統(tǒng)，主要結構如圖 4 所示。CCMS 考慮不同的信任模型，允許一個或多個根CA 存在，可以實現(xiàn)單根 CA、交叉認證、橋接 CA 和證書信任列表等多種證書管理模

26、式。圖 4 CCMS 系統(tǒng)架構15（三）車聯(lián)網(wǎng)安全信任錨點模型發(fā)展態(tài)勢在車聯(lián)網(wǎng)證書管理系統(tǒng)中信任錨點在車聯(lián)網(wǎng)安全中扮演著非常重要的角色，所有車載終端授權和通信的安全性取決于信任錨的安全性。在車聯(lián)網(wǎng)證書管理系統(tǒng)中，共同的信任錨點是根證書頒發(fā)機構， 根節(jié)點是車聯(lián)網(wǎng)中受信任的實體，允許其自己頒發(fā)自簽名證書。使用車聯(lián)網(wǎng)證書管理系統(tǒng)的所有設備，以及系統(tǒng)中所有關聯(lián)的網(wǎng)絡功能， 都必須通過某種安全手段來建立對根 CA 的合法性和完整性的信任（即未發(fā)生損害）。常用的信任錨點管理機制是保護信任 CA 列表的可信列表。例如可以作為預配置的一部分，通過安全的初始過程（例如帶外證書下載）為車輛OBU 提供根 CA 列

27、表。美國的 SCMS 系統(tǒng)有一個管理組件負責對策略和根進行管理， 如圖 5 所示。SCMS 的根 CA 管理包括一系列選舉人，這些選舉人是認可或撤銷根CA 證書并認可或撤銷選舉人證書的受信任的設備和組織。選舉人和根 CA 是信任錨點系統(tǒng)的一部分。此選舉人機制可提供針對單點故障風險的保護，由于大多數(shù)選舉人可以撤銷或認可另一個選舉人證書或根 CA 證書，因此 SCMS 允許采用標準化方式交換系統(tǒng)中的任何 CA 證書。SCMS 系統(tǒng)使用SCMS 管理器來確認根CA 的可信度。同時SCMS 管理器還包括策略生成器，負責維護策略文件以及包含所有信任鏈的全局證書鏈文件（GCCF）。圖 5 美國 SCMS

28、系統(tǒng)的可信錨點模型9在歐洲，車聯(lián)網(wǎng)證書管理系統(tǒng)CCMS 使用信任列表管理器（TLM） 作為可信錨點，可以認可或撤銷根 CA，這些根 CA 放置在歐洲證書信任列表（ECTL）上，并由與 TLM 相關的 CPOC 分發(fā)，如圖 6 所示。CCMS 使用 C-ITS 證書策略頒發(fā)機構（CPA），其作用是任命 TLM并確認 TLM 可以信任 CPA 批準運行的根 CA。根 CA 的可信度記錄在由TLM 簽署的歐洲中央信任列表（ECTL）中。圖 6 歐洲可信錨點管理實體9（四）車聯(lián)網(wǎng)隱私保護技術發(fā)展態(tài)勢車聯(lián)網(wǎng)應用的隱私包括位置隱私、用戶數(shù)據(jù)隱私和用戶身份隱私。車聯(lián)網(wǎng)應用不僅能夠為駕駛者提供道路周邊基礎設施

29、和導航信息，還 能對車輛位置及其他相關信息進行詳細記錄。在車聯(lián)網(wǎng)中，用戶的身 份隱私和位置隱私相互關聯(lián)，密不可分，攻擊者通過身份信息可以追 蹤到車輛的位置信息，通過車輛的位置信息可以追蹤到車輛的行駛軌 跡，進而可以揭示用戶的身份信息。所以在車聯(lián)網(wǎng)通信中既要保護車 輛的身份隱私，也要保護車輛的位置隱私。2017 年，美國眾議院通過了確保車輛演化的未來部署和研究安全法案。不同于以往的“非強制性”規(guī)定,該法案屬于首次從聯(lián)邦層面規(guī)制自動駕駛的法案。法案要求自動駕駛汽車的開發(fā)者需制定數(shù)據(jù)的隱私保護計劃,且禁止生產(chǎn)商在沒有隱私保護計劃的情況下銷售自動駕駛汽車。法案規(guī)定隱私政策需明確以下內(nèi)容：（1）信息被收

30、集、使用、分享和存儲的方法；（2）提供給車主或使用者關于該類信息收集、使用、分享和存儲的選擇；（3）生產(chǎn)商關于車主或使用者數(shù)據(jù)最小化、去標識化,及保留方面的做法；（4）隱私保護的要求如何延伸適用于分享使用數(shù)據(jù)的主體的做法。歐盟 GDPR 關于個人數(shù)據(jù)保護的規(guī)定將統(tǒng)一適用于自動駕駛數(shù)據(jù)中的個人數(shù)據(jù)。在行業(yè)自律層面，2014 年，汽車制造商聯(lián)盟(Alliance of Automobile Manufacturers)和全球汽車制造商協(xié)會(Association of Global Automakers)為汽車技術和服務制定了 7 條隱私保護原則,涉及透明性、選擇性、尊重情景、數(shù)據(jù)最小化、數(shù)據(jù)安全

31、、完整性和可取性、可責性等;另外規(guī)定，只有在基于與消費者的合同、經(jīng)消費者同意或為了履行法律要求的情況下才可與第三方共享個人數(shù)據(jù)。目前車聯(lián)網(wǎng)中主要是通過對車載終端的通信證書采用匿名的方式來保護用戶標識，并根據(jù)設定的邏輯更換所使用的通信證書來達到保護用戶隱私的目的。為了平衡匿名證書數(shù)量與隱私保護間的矛盾，美國的 SCMS 系統(tǒng)選擇每周頒發(fā) 20 張匿名證書，并且規(guī)定當移動距離大于 2 千米且移動時間超過 5 分鐘時需更換一次匿名證書。在更換證書的同時，終端同步更換設備的 MAC 地址，從而防止攻擊者利用設備的 MAC 地址對用戶進行實時跟蹤。為了防止攻擊者描繪用戶的歷史軌跡， SCMS 系統(tǒng)規(guī)定匿

32、名證書的有效時間為一周，超過一周需使用下一批匿名證書。同時，匿名證書在使用前以加密方式存儲，防止設備被入侵后匿名證書被非法獲取。在服務端，SCMS 系統(tǒng)設計采用位置模糊化代理（LOP）將所有終端設備的地址進行替代處理，從而使 SCMS 系統(tǒng)中的其他單元無法獲取終端設備的準確位置信息。為了防止 LOP 對服務請求信息進行監(jiān)聽，終端設備的服務請求數(shù)據(jù)采用加密方式發(fā)送，由 LOP 轉發(fā)給 RA，RA 可對接收到的密文請求數(shù)據(jù)解密并進行相應的處理。為了保護用戶隱私，SCMS 對系統(tǒng)側服務單元提出了嚴格的匿名管控標準，要求系統(tǒng)中的任何單一服務設備均無法根據(jù)自身獲取的信息獨立判斷出兩張匿名證書是否將頒發(fā)給

33、同一個終端使用，切斷匿名證書間的關聯(lián)性。為此，SCMS 系統(tǒng)采用兩個LA 服務器，防止單一LA 服務器通過鏈接值擴展來確定證書關系。此外，在匿名證書申請過程中，在 RA 處設計了洗牌模式，防止 PCA 獲取確切的終端信息。RA 在收到終端設備的匿名證書請求后將其擴展，并將多個終端擴展后的請求進行統(tǒng)一的洗牌處理，最后再發(fā)送給 PCA 申請證書。歐洲匿名證書預裝載的時間最多為三個月，有效期不超過一周， 并行有效的最大數(shù)量為每個節(jié)點最多 100 個證書，同時匿名證書中不包含任何可能將主題與其真實身份相關聯(lián)的名稱或信息。（五）車聯(lián)網(wǎng)安全監(jiān)管發(fā)展態(tài)勢目前，美國、英國、德國等國家陸續(xù)發(fā)布與智能網(wǎng)聯(lián)汽車與自

34、動駕駛相關的法律法案，力圖從國家層面細化涉及汽車全生命周期各參與體的網(wǎng)絡安全責任，加強對車聯(lián)網(wǎng)安全的重視程度。美國 2016 年公布自動駕駛汽車政策，將高度自動駕駛汽車的安全部署任務分為四大部分，包括自動駕駛汽車性能指南、州政策模式、現(xiàn)行監(jiān)管方式和監(jiān)管新工具與權力。美國交通部道路交通安全管理局（NHTSA）在 2017 年 8 月發(fā)布了新版聯(lián)邦自動駕駛系統(tǒng)指南：安全愿景 2.0，要求汽車廠商采取措施應對網(wǎng)絡威脅和網(wǎng)絡漏洞，對車輛輔助系統(tǒng)進行網(wǎng)絡安全評估。英國要求汽車制造商承擔起包括抵御網(wǎng)絡攻擊、對抗黑客在內(nèi)的一系列網(wǎng)絡安全責任。2017 年 8 月，英國政府發(fā)布智能網(wǎng)聯(lián)汽車網(wǎng)絡安全關鍵原則，提

35、出包括頂層設計、風險管理與評估、產(chǎn)品售后服務與應急響應機制、整體安全性要求、系統(tǒng)設計、軟件安全管理、數(shù)據(jù)安全、彈性設計在內(nèi)的 8 大方面關鍵原則。將網(wǎng)絡安全責任拓展到供應鏈上的每個主體，并強調(diào)在汽車全生命周期內(nèi)考慮網(wǎng)絡安全問題。德國在 2017 年 6 月頒布了道路交通法第八修正案與自動駕駛道德準則。道路交通法第八修正案原則性規(guī)定了自動駕駛的定義、駕駛人的責任與義務、駕駛數(shù)據(jù)的記錄等內(nèi)容，為自動駕駛各方利益主體規(guī)定了權利義務邊界，提出政府監(jiān)管方向。自動駕駛道德準則作為全球第一個自動駕駛行業(yè)的道德準則，通過在道路安全與出行便利、個人保護與功利主義、人身權益或財產(chǎn)權益等方面確立優(yōu)先原則，為自動駕駛

36、所產(chǎn)生的道德和價值問題立下規(guī)矩。（六）車聯(lián)網(wǎng)安全標準目前國際上各大標準組織積極進行車聯(lián)網(wǎng)安全的研究和標準化工作，均設立了專門的安全工作組開展車聯(lián)網(wǎng)安全標準的研制工作， 為車聯(lián)網(wǎng)安全的發(fā)展提供必要的理論依據(jù)。國際標準化組織 ISO 是負責除電工電子領域外的國際標準化工作的非政府性國際組織，其下屬道路車輛技術委員會（TC22）成立SC32/WG11 Cybersecurity 信息安全工作組，聯(lián)合美國汽車工程師協(xié)會（SAE）共同開展信息安全國際標準 ISO 21434 Road Vehicles Cybersecurity engineering 的制定工作。該標準旨在定義整個車聯(lián)網(wǎng)產(chǎn)業(yè)鏈中使用的

37、通用術語，明確車聯(lián)網(wǎng)中關鍵網(wǎng)絡安全問題，設定車輛網(wǎng)絡安全工程的最低標準，并為相關監(jiān)管機構提供參考。ISO/IEC JTC1 SC27（信息安全、網(wǎng)絡空間安全和隱私保護技術委員會）的WG3（安全評估、測試和規(guī)范工作組）中，基于 ISO/IEC 15408 的網(wǎng)聯(lián)汽車信息安全測評準則標準研究項目，旨在基于 ISO/IEC 15408 標準，分析網(wǎng)聯(lián)汽車面臨的安全威脅和安全目標，提出安全要求和安全功能組件。美國汽車工程師協(xié)會（SAE）中的汽車電子系統(tǒng)安全委員會負責汽車電子系統(tǒng)網(wǎng)絡安全方面的標準化工作，制定了全球第一個關于汽車電子系統(tǒng)網(wǎng)絡安全的指南性文件J3061 Cybersecurity Guid

38、ebook for Cyber-Physical Vehicle Systems，該文件定義了完整的生命周期過程框架，將網(wǎng)絡安全貫穿了從概念階段到生產(chǎn)、運營、服務和退役的所有生命周期，為開發(fā)具有網(wǎng)絡安全要求的汽車電子系統(tǒng)提供了重要的依據(jù)。該文件為車輛系統(tǒng)提供了網(wǎng)絡安全的基本指導原則，為后續(xù)的車聯(lián)網(wǎng)安全的標準化工作奠定了基礎。國際電信聯(lián)盟（ITU-T）SG17 工作組已經(jīng)開展了對智能交通以及聯(lián)網(wǎng)汽車安全的研究工作。有 12 個標準項目，包括：軟件升級、安全威脅、異常檢測、數(shù)據(jù)分類、V2X 通信安全、邊緣計算、車內(nèi)以太網(wǎng)安全等。目前已經(jīng)正式發(fā)布的標準有 X.1373 Secure software

39、 update capability for intelligent transportation system communication devices，這個標準通過適當?shù)陌踩刂拼胧?，為遠程更新服務器和車輛之間提供軟件安全的更新方案，并且定義了安全更新的流程和內(nèi)容建議，該標準正在修訂中。目前，ITU-T 在研的標準有 Securityguidelines for V2X communication systems for determination，SecurityRequirements of Categorized Data in V2X Communication 和 Securi

40、ty threats in connected vehicles，主要圍繞 V2X 面臨的安全威脅和安全需求，提出相應的安全指南，該標準已經(jīng)凍結，即將發(fā)布。聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（WP.29）成立了汽車信息安全任務組（TFCS/OTA），提出了關于網(wǎng)絡安全和信息保護措施的指南草案，并正在以該任務組提交的研究報告為基礎，制定汽車信息安全專用國際法規(guī)。為實施更為安全的保護，ETSI 中的 ITS 技術委員會制定了相應的技術規(guī)范，該技術規(guī)范主要包括安全架構、安全服務、安全管理、隱私保護等方面。3GPP SA3 在REL 14 開始進行 LTE-V2X 安全的研究和標準化工作， 形成了 3GPP

41、TS 33.185 Security aspect for LTE support of Vehicle-to-Everything (V2X) services 標準規(guī)范，規(guī)定了 LTE-V2X 的安全架構以及安全機制。目前 3GPP SA3 在REL 17 開始研究eV2X 的安全，主要圍繞 5G-V2X 的安全需求和安全關鍵問題進行研究。三、 我國發(fā)展態(tài)勢（一）車聯(lián)網(wǎng)安全管理系統(tǒng)發(fā)展態(tài)勢為了實現(xiàn)車聯(lián)網(wǎng)終端之間的安全認證和安全通信，我國的車聯(lián)網(wǎng)系統(tǒng)使用基于公鑰證書的 PKI 機制確保終端間的安全認證和安全通信,通過采用數(shù)字簽名和加密等技術手段實現(xiàn)車聯(lián)網(wǎng)終端之間消息的安全通信。因此需要車聯(lián)網(wǎng)

42、安全管理系統(tǒng)來實現(xiàn)證書頒發(fā)、證書撤銷、終端安全信息收集、數(shù)據(jù)管理、異常分析等一系列與安全相關的功能， 確保車聯(lián)網(wǎng)應用安全。車聯(lián)網(wǎng)安全管理系統(tǒng)是車聯(lián)網(wǎng)安全通信的重要組成部分，包括注冊 CA、V2V 假名 CA、V2I 授權 CA 和證書撤銷 CA 等，車聯(lián)網(wǎng)安全管理系統(tǒng)的架構及可信模型與我國車聯(lián)網(wǎng)業(yè)務及其管理模式緊密相關。根據(jù)我國車聯(lián)網(wǎng)發(fā)展情況及業(yè)務需求，可以看出我國的車聯(lián)網(wǎng)安全管理系統(tǒng)會存在兩種可能的架構，即集中式管理架構和分布式管理架構。授權CA證書撤銷CA注冊CA服務機構路側設備(RSU)車載設備(OBU)V2I授權CAV2X假名CAV2X通信CA圖 7集中式車聯(lián)網(wǎng)安全管理系統(tǒng)架構5圖 7

43、 給出了集中式車聯(lián)網(wǎng)安全管理系統(tǒng)架構。該架構采用單一根CA 的方式，部署統(tǒng)一的 CA 體系結構，所有的子 CA 都在同一個根CA 下管理。根 CA 可由車聯(lián)網(wǎng)管理責任部門負責運營維護。這種部署方式適用于對車聯(lián)網(wǎng)有明確主管責任部門進行統(tǒng)一管理的場景。集中式部署的優(yōu)點是所有的證書由統(tǒng)一的根 CA 管理，管理比較簡單， 缺點是不能重用現(xiàn)有的 CA 系統(tǒng)，需要重新建立新的 CA 體系。圖 8 給出了分布式車聯(lián)網(wǎng)安全管理系統(tǒng)架構，該架構通過 CA 之間的交叉認證實現(xiàn)可信的 PKI 體系?？尚抨P系授權CA證書撤銷CA注冊CA服務機構路側設備(RSU)車載設備(OBU)V2I授權CAV2X假名CA圖 8 分

44、布式安全基礎設施部署方式5分布式部署方案不需要有共同的根 CA，不同的業(yè)務可以設置不同的根 CA，但需要在不同的根 CA 之間建立互信關系。這種部署方式適用于多部門共同對車聯(lián)網(wǎng)進行管理和維護的場景。這種方式的優(yōu)點是容易對接現(xiàn)有的管理機制，可在現(xiàn)有 CA 系統(tǒng)中增加相應的功能即可。缺點是需要執(zhí)行交叉認證，增加了消息長度和消息處理時延。需要注意的是，不管使用哪種部署方案，頒發(fā)證書的 CA 都需要具備很高的安全性。攻擊者可能可以從不安全的 CA 系統(tǒng)獲得 CA 頒發(fā)的有效證書，進而發(fā)送惡意構造的 V2X 消息，造成嚴重的后果， 如車輛碰撞等交通事故。頒發(fā)證書的CA 應根據(jù)當前業(yè)界的最佳實踐， 通過第

45、三方評估認證等方式，證明自身的安全性和公信力。（二）車聯(lián)網(wǎng)安全管理系統(tǒng)產(chǎn)業(yè)實踐車聯(lián)網(wǎng)安全管理系統(tǒng)是車聯(lián)網(wǎng)商業(yè)化部署應用的重要保障。車聯(lián)網(wǎng)“人-車-路-云”通信過程中需要對車載設備、路側基礎設施等參與主體的身份合法性進行安全認證，避免車聯(lián)網(wǎng)設備因黑客攻擊，誤導車輛做出錯誤判斷，甚至導致車輛碰撞等危害事件發(fā)生。目前國內(nèi)相關單位持續(xù)開展 V2X 通信安全研究和標準制定，國家標準化管理委員會在 2019 年 5 月發(fā)布了國標GB/T 37376-2019交通運輸 數(shù)字證書格式、GB/T 37374-2019智能交通 數(shù)字證書應用接口規(guī)范和GB/T 37373-2019智能交通 數(shù)據(jù)安全服務。中國通信標

46、準化協(xié)會（CCSA）完成了行標基于 LTE 的車聯(lián)網(wǎng)通信安全技術要求、車聯(lián)網(wǎng)信息服務 數(shù)據(jù)安全技術要求、車聯(lián)網(wǎng)無線通信安全技術指南、車聯(lián)網(wǎng)信息服務 用戶個人信息保護要求和車聯(lián)網(wǎng)信息服務平臺安全防護要求的制定。同時，CCSA、C-ITS 和全國汽車標準化技術委員會正在制定多部 V2X 通信安全標準，眾多企業(yè)已經(jīng)依據(jù)標準開展了車聯(lián)網(wǎng)通信安全的測試驗證活動。2018 年 4 月，中國信息通信科技集團有限公司（中國信科）發(fā)布了業(yè)內(nèi)首個車聯(lián)網(wǎng)安全管理系統(tǒng)，該系統(tǒng)實現(xiàn)了注冊 CA、V2V 假名 CA、V2I 授權 CA 和證書撤銷 CA 等功能，實現(xiàn)了車聯(lián)網(wǎng)注冊證書、匿名證書、應用證書和證書撤銷列表的管理

47、，實現(xiàn)了車聯(lián)網(wǎng)安全的驗證。2019 年 8 月，國汽（北京）智能網(wǎng)聯(lián)汽車研究院有限公司搭建的VSS 系統(tǒng)眾測平臺正式對外開放。VSS 是針對V2X 通信設計構建的安全認證防護系統(tǒng)，是推廣 V2X 應用不可或缺的組成部分。VSS 包括根 CA、中間證書 CA、注冊證書 CA、消息證書 CA 和受理服務器AS。2019 年 10 月 22 日到 24 日，由 IMT-2020（5G）推進組 C-V2X 工作組、中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟、中國汽車工程學會、上海國際汽車城（集團）有限公司共同主辦的 C-V2X“四跨”互聯(lián)互通應用展示，重點演示了車聯(lián)網(wǎng)通信安全身份認證機制，實現(xiàn)“跨芯片模組、跨終端、

48、跨整車、跨安全平臺”的全方位演示。演示活動應用場景和安全機制全面依照國內(nèi) LTE-V2X 標準體系進行技術開發(fā)，由中國信科和國汽智聯(lián)搭建的車聯(lián)網(wǎng)安全管理平臺為車載通信終端OBU 和路側終端RSU 提供通信證書，實現(xiàn) V2V、V2I 直連安全通信， 綜合演示車聯(lián)網(wǎng)通信安全機制。（三）車聯(lián)網(wǎng)安全監(jiān)管近兩年，我國陸續(xù)頒布車聯(lián)網(wǎng)相關的法規(guī)政策，安全作為車聯(lián)網(wǎng)的重要組成部分，在相應的法規(guī)政策中都被著重提出，從安全管理和安全技術層面都有相應的規(guī)定和要求。2017 年 6 月 1 日開始實施的中華人民共和國網(wǎng)絡安全法，明確要求網(wǎng)絡運營者履行網(wǎng)絡安全保護義務，依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，采

49、取技術措施和其他必要措施，保障網(wǎng)絡安全、穩(wěn)定運行。有效應對網(wǎng)絡安全事件，防范網(wǎng)絡違法犯罪活動， 維護網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性。加強行業(yè)自律，制定網(wǎng)絡安全行為規(guī)范，指導會員加強網(wǎng)絡安全保護，提高網(wǎng)絡安全保護水平， 促進行業(yè)健康發(fā)展。2018 年 6 月，工信部和國家標準化管理委員共同頒布了國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設指南，在智能網(wǎng)聯(lián)汽車標準體系的通用規(guī)范中，規(guī)劃了信息安全類（編號 204）的標準體系。在遵從信息安全通用要求的基礎上，以保障車輛安全、穩(wěn)定、可靠運行為核心，主要針對車輛及車載系統(tǒng)通信、數(shù)據(jù)、軟硬件安全，從整車、系統(tǒng)、關鍵節(jié)點以及車輛與外界接口等方面提出風險評估、安全防護與測試評

50、價要求，防范對車輛的攻擊、侵入、干擾、破壞和非法使用以及意外事故。在信息通信標準體系的網(wǎng)絡與數(shù)據(jù)安全部分，涉及安全體系架構、通信安全、數(shù)據(jù)安全、網(wǎng)絡安全防護、安全監(jiān)控、應急管理等方面的標準。2018 年 1 月，發(fā)改委組織起草了智能汽車創(chuàng)新發(fā)展戰(zhàn)略（征求意見稿），明確提出構建全面高效的智能汽車信息安全體系，保障車聯(lián)網(wǎng)網(wǎng)絡安全產(chǎn)業(yè)的健康有序發(fā)展。明確提出完善信息安全管理聯(lián)動機制，明確相關主體的安全管理責任，定期開展安全監(jiān)督檢查；從云、管、端全方位加強信息安全系統(tǒng)防護能力；加強數(shù)據(jù)安全防護管理。建立智能汽車數(shù)據(jù)全生命周期的安全管理機制，加強數(shù)據(jù)安全監(jiān)督檢查，開展數(shù)據(jù)風險、數(shù)據(jù)出境安全等評估工作，加

51、強管理制度建設。在 PKI 管理方面，2009 年頒布的電子認證服務管理辦法明確了對電子認證服務提供者實施監(jiān)督管理的方法，包括提供電子認證服務機構的資質(zhì)要求、電子認證服務許可申請流程等。（四）車聯(lián)網(wǎng)安全標準為了適應車聯(lián)網(wǎng)的發(fā)展，TC114、TC260、CCSA、C-ITS 等都設立了車聯(lián)網(wǎng)安全相關工作組，加速研制車聯(lián)網(wǎng)安全標準，重點關注車聯(lián)網(wǎng)無線通信安全和數(shù)據(jù)安全。全國汽車標準化技術委員會（簡稱汽標委）下屬的智能網(wǎng)聯(lián)汽車分技術委員會（TC114）負責歸口管理我國智能網(wǎng)聯(lián)汽車領域的國家標準和行業(yè)標準，成立了先進駕駛輔助系統(tǒng)（ADAS）標準工作組、信息安全、自動駕駛等工作組。2017 年，汽標委正

52、式成立汽車信息安全標準工作組，已完成汽車信息安全通用技術要求、車載網(wǎng)關信息安全技術要求、汽車信息交互系統(tǒng)信息安全技術要求等 3 項汽車信息安全基礎標準和電動汽車遠程管理與服務系統(tǒng)信息安全技術要求、電動汽車充電信息安全技術要求等 2 項行業(yè)急需標準的預研工作，并向國家標準化管理委員會提交了推薦性國家標準立項申請。全國信息技術安全標準化技術委員會（信安標委）TC260 是國家標準化管理委員會的直屬標準化技術委員會。2017 年 7 月，TC260 立項了與車聯(lián)網(wǎng)安全相關的強制性國家標準項目信息安全技術網(wǎng)絡產(chǎn)品和服務安全通用要求。中國通信標準化協(xié)會（CCSA）長期致力于車聯(lián)網(wǎng)系列標準的制定，研制的車

53、聯(lián)網(wǎng)安全相關標準涵蓋車聯(lián)網(wǎng)安全的方方面面，目前， CCSA 已經(jīng)完成了行標基于 LTE 的車聯(lián)網(wǎng)通信安全技術要求、車聯(lián)網(wǎng)信息服務 數(shù)據(jù)安全技術要求、車聯(lián)網(wǎng)無線通信安全技術指南、車聯(lián)網(wǎng)信息服務 用戶個人信息保護要求和車聯(lián)網(wǎng)信息服務平臺安全防護要求的制定，正在研制的車聯(lián)網(wǎng)安全相關標準有基于LTE 的車聯(lián)網(wǎng)無線通信技術 安全證書管理系統(tǒng)技術要求、基于LTE 的車聯(lián)網(wǎng)無線通信技術 安全認證測試方法。四、 技術預見（一）5G 車聯(lián)網(wǎng)安全技術隨著蜂窩通信技術的不斷發(fā)展，LTE V2X 車聯(lián)網(wǎng)也將朝向 NR V2X 技術方向演進。5G 在車輛聯(lián)網(wǎng)領域的應用主要體現(xiàn)在道路環(huán)境感知、遠程駕駛、編隊駕駛等方面，車

54、輛聯(lián)網(wǎng)系統(tǒng)的實現(xiàn)需要依靠強大的通信能力來依賴和支持。5G 的低延遲、高可靠性特性及大容量的通信設備，使車輛聯(lián)網(wǎng)的發(fā)展和應用更加可靠和迅速。NR V2X 車聯(lián)網(wǎng)業(yè)務具有不同的安全等級和安全需求，例如編隊駕駛場景中車聯(lián)網(wǎng)消息將只在編隊中傳播，編隊之外的車輛不應收到 處理編隊的消息，因此在這種場景下車聯(lián)網(wǎng)系統(tǒng)應該考慮支持機密性。因此 NR V2X 車聯(lián)網(wǎng)安全除了繼承了 5G 網(wǎng)絡的安全風險和挑戰(zhàn)外，還面臨著新的安全需求。NR V2X 車聯(lián)網(wǎng)為了支持更多的車聯(lián)網(wǎng)業(yè)務和場景，在 PC5 接口上引入了單播和組播模式，因此需要相應的安全機制來保證車聯(lián)網(wǎng)消息的完整性、機密性和抗重放攻擊，同時也需要研究相應的隱

55、私保護機制來保證 5G 車聯(lián)網(wǎng)的安全。（二）車聯(lián)網(wǎng)與邊緣計算融合的安全邊緣計算是 5G 網(wǎng)絡中實現(xiàn)低時延業(yè)務的使能技術之一，可以提供對車聯(lián)網(wǎng)基礎通信能力的支持。同時邊緣計算還可以對車聯(lián)網(wǎng)的其它前瞻性應用場景，如交叉口信號燈控制參數(shù)優(yōu)化、區(qū)域內(nèi)高精度地圖的實時加載、區(qū)域內(nèi)自動駕駛車輛的調(diào)度等提供支持，因此車聯(lián)網(wǎng)將與邊緣計算技術相結合，形成分層、多級邊緣計算體系，滿足高速、低時延車聯(lián)網(wǎng)業(yè)務處理及響應的需要。但是邊緣計算的數(shù)據(jù)處理實時性、數(shù)據(jù)多源異構性、終端資源受限性和接入設備復雜性，使得傳統(tǒng)云計算環(huán)境的安全機制不再適用于邊緣設備產(chǎn)生的海量數(shù)據(jù)的安全防護，邊緣計算的數(shù)據(jù)存儲安全、共享安全、計算安全、

56、傳輸和隱私保護等問題成為邊緣計算模型必須面對的安全挑戰(zhàn)。車聯(lián)網(wǎng)與邊緣計算融合的體系架構需要針對數(shù)據(jù)安全、身份認證、隱私保護和訪問控制提出相應的安全機制，保證車聯(lián)網(wǎng)業(yè)務的安全開 展。傳統(tǒng)的網(wǎng)絡與業(yè)務的信任模型不能適應新的業(yè)務模式，例如邊緣 計算與車聯(lián)網(wǎng)應用之間的信任關系缺失會導致攻擊者接管用戶服務， 因此需要研究車聯(lián)網(wǎng)業(yè)務與邊緣計算之間新的信任模式，滿足邊緣計 算系統(tǒng)與車聯(lián)網(wǎng)系統(tǒng)共生融合的部署方式。（三）車聯(lián)網(wǎng)通信設備認證及安全交互技術為了確保車聯(lián)網(wǎng)業(yè)務中消息來源的真實性、內(nèi)容的完整性、防止消息重放，采用數(shù)字證書通過數(shù)字簽名/驗簽的方式對車聯(lián)網(wǎng)業(yè)務消息進行保護。為了實現(xiàn)上述機制，車聯(lián)網(wǎng)終端需要完

57、成設備初始化， 以安全的方式完成密碼公私鑰對、數(shù)字證書等敏感參數(shù)的初始配置。該過程對設備安全生產(chǎn)環(huán)境有著較為嚴格的要求，給車企及 C-V2X 終端生產(chǎn)企業(yè)帶來了新的挑戰(zhàn)。目前車聯(lián)網(wǎng)設備的初始安全配置過程主要是由車輛生產(chǎn)企業(yè)在生產(chǎn)線上完成，對終端設備廠商有較高的安全生產(chǎn)要求，需要根據(jù)車聯(lián)網(wǎng)的安全要求對生產(chǎn)線進行改造。特別是終端設備公私鑰對的產(chǎn)生以及登記注冊證書的申請對于生產(chǎn)線有更加嚴苛的安全要求。企業(yè)不僅面臨著生產(chǎn)線、生產(chǎn)流程升級改造的問題，同時還面臨著安全生產(chǎn)合規(guī)、安全審計、安全信任關系構建、安全成本管控等多方面難題。因此需要更為有效的車聯(lián)網(wǎng)通信設備認證及安全交互方法，滿足車企對車聯(lián)網(wǎng)設備初始

58、安全配置的需要。3GPP 定義的GBA（Generic Bootstrapping Architecture，通用引導架構）框架提供了一種基于移動通信網(wǎng)絡和用戶卡的通用認證和會話密鑰管理機制，可以為應用層業(yè)務提供完整的安全認證及應用層會話通道加密服務。因此如何將 GBA 框架應用在車聯(lián)網(wǎng)安全體系下是目前研究的熱點，車聯(lián)網(wǎng)安全管理系統(tǒng)通過引入 GBA 機制，可以在不需要根證書的情況下安全地進行多證書的安全導入，有助于建立證書間的互信機制，以解決隸屬于不同 CA 管理系統(tǒng)的節(jié)點間消息驗證及互通的問題。（四）車聯(lián)網(wǎng)安全管理系統(tǒng)增強技術車聯(lián)網(wǎng)安全管理系統(tǒng)支持對車聯(lián)網(wǎng)設備進行證書的安全發(fā)放、使用和撤銷，

59、當車聯(lián)網(wǎng)安全管理系統(tǒng)檢測到惡意的車聯(lián)網(wǎng)設備時需要將其證書撤銷，或者當車聯(lián)網(wǎng)設備發(fā)生故障或者報廢時，需要將頒發(fā)給車聯(lián)網(wǎng)設備的證書撤銷。因此，車聯(lián)網(wǎng)設備的異常行為檢測和報告是車聯(lián)網(wǎng)安全管理系統(tǒng)的重要組成部分。目前異常行為檢測包括本地的異常行為檢測和后臺安全運營中 心的全局異常行為檢測。本地的異常行為檢測可以通過車聯(lián)網(wǎng)設備檢 查接收到的安全消息的完整性、可靠性和正確性，以及結合車輛的傳 感器信息進行分析、判斷。由于本地異常行為檢測僅能在時間和空間 上提供有限的信息，因此只依靠本地的檢測不足以可靠地識別攻擊者， 因此需要依賴于后臺安全運營中心的全局檢測，后臺安全運營中心的 全局異常行為檢測可以通過實時

60、對車載智能終端設備的系統(tǒng)資源、應 用行為、網(wǎng)絡連接以及 CAN 總線接口的監(jiān)測，結合云端的安全大數(shù)據(jù)進行分析，發(fā)現(xiàn)并定位車載終端中的異常行為，并根據(jù)預置策略執(zhí) 行阻斷，實現(xiàn)基于終端檢測與響應技術（ Endpoint Detection and Response）的車載智能終端動態(tài)防護。例如，車聯(lián)網(wǎng)安全管理系統(tǒng)既 可以識別、處置來自車聯(lián)網(wǎng)設備的異常請求，也可以通過依靠威脅情 報和大數(shù)據(jù)能力，創(chuàng)建并持續(xù)學習不同場景、不同工況下的車聯(lián)網(wǎng)行 為模型，根據(jù)行為模型對監(jiān)測到的異常行為進行安全分析，對異常行 為可造成的汽車信息安全事件進行告警、預測和處置，從而建立起檢 測車聯(lián)網(wǎng)設備異常行為的能力。但是目前這